0105-相關(guān)方信息安全管理程序

相關(guān)方信息安全管理程序1目的為加強(qiáng)對相關(guān)方的控制，減少安全風(fēng)險，防范公司信息資產(chǎn)損失，特制定本程序。2范圍適用于公司對相關(guān)方的信息安全活動的管理和供應(yīng)商的管理活動。3職責(zé)人力資源部負(fù)責(zé)統(tǒng)一管理相關(guān)方和供應(yīng)商在信息安全方面的控制活動。各相關(guān)部門a.負(fù)責(zé)識別本部門的相關(guān)方，并與相關(guān)方簽訂保密協(xié)議；b.負(fù)責(zé)對相關(guān)方的服務(wù)進(jìn)行信息安全控制；c.負(fù)責(zé)定期對相關(guān)方進(jìn)行監(jiān)督和評審；d.負(fù)責(zé)做好相關(guān)方的變更管理。4程序4.1管理對象我公司的相關(guān)方包括以下團(tuán)體或個人：a）服務(wù)提供商：互聯(lián)網(wǎng)服務(wù)提供商、電話提供商、IT維護(hù)和支持服務(wù)提供商、軟件產(chǎn)品和IT系統(tǒng)開發(fā)商和供應(yīng)商；b）設(shè)備供方；c）外來人員：臨時人員、實(shí)習(xí)學(xué)生以及其他短期工作人員；d）管理服務(wù)提供商，管理咨詢，業(yè)務(wù)咨詢，外部審核；e）公司客戶。各部門應(yīng)對公司的相關(guān)方進(jìn)行識別，并進(jìn)行風(fēng)險評估和風(fēng)險管理。2相關(guān)方的信息安全管理1相關(guān)部門應(yīng)協(xié)調(diào)人力資源部識別外部相關(guān)方對信息資產(chǎn)和信息處理設(shè)施造成的風(fēng)險，并在批準(zhǔn)外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂啤?.2.2相關(guān)部門應(yīng)與外部相關(guān)方簽署涉及物理訪問、邏輯訪問和工作安排條款和條件的《相關(guān)方保密協(xié)議》或《供應(yīng)商保密協(xié)議》，所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都應(yīng)在協(xié)議中反映,在未實(shí)施適當(dāng)?shù)目刂浦安粦?yīng)該向外部相關(guān)方提供對信息的訪問。4.2.3相關(guān)部門應(yīng)識別外包供應(yīng)商活動的風(fēng)險，明確供應(yīng)商活動的信息安全要求，在外包合同中明確規(guī)定信息安全要求或簽署《供應(yīng)商保密協(xié)議》。4.2.4相關(guān)部門應(yīng)確保外部相關(guān)方意識到其義務(wù)，并接受與訪問、處理、交流或管理組織信息和信息處理設(shè)施相關(guān)的責(zé)任和義務(wù)。3外來人員管理1外來人員主要有：臨時工、實(shí)習(xí)人員、參觀檢查人員、外來技術(shù)人員、公司客戶等。4.3.2外來人員由使用部門提請人力資源部審核同意后，簽署《相關(guān)方保密協(xié)議》，并明確工作范圍、工作內(nèi)容、職責(zé)、權(quán)利、義務(wù)、物理（邏輯）訪問控制等要求，方可在公司信息系統(tǒng)從事相關(guān)工作。.3.3外來人員的物理訪問按《安全區(qū)域管理程序》進(jìn)行。.3.4外來人員的邏輯訪問按《用戶訪問管理程序》進(jìn)行。4.4供應(yīng)商的管理4.1供應(yīng)商能力的評定4.1.1相關(guān)網(wǎng)絡(luò)歸口部門需要將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和信息安全等事項(xiàng)外包時，應(yīng)明確外包服務(wù)的內(nèi)容和要求，對供應(yīng)商提供服務(wù)的能力進(jìn)行評定，確定合格供應(yīng)商。4.1.2應(yīng)確保供應(yīng)商保持充分的提供服務(wù)的能力，并且具備有效的工作計劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。4.2供應(yīng)商提供商需提供服務(wù)人員的姓名、技術(shù)能力評定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入現(xiàn)場。臨時服務(wù)人員由專業(yè)人員全程陪同。4.3供應(yīng)商服務(wù)人員在現(xiàn)場或遠(yuǎn)程服務(wù)時，必須明確相關(guān)內(nèi)容，包括時間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。4.4對服務(wù)提供方技術(shù)人員在現(xiàn)場處理需要設(shè)備入網(wǎng)時，應(yīng)填寫入網(wǎng)申請單，經(jīng)人力資源部領(lǐng)導(dǎo)同意后方可入網(wǎng)，對系統(tǒng)的巡檢和維護(hù)需有本公司專業(yè)人員陪同，按《安全區(qū)域管理程序》和《用戶訪問管理程序》進(jìn)行，并填寫《供應(yīng)商工作記錄單》或在運(yùn)行記錄中填寫供應(yīng)商情況。4.5當(dāng)服務(wù)提供方發(fā)生變更時，人力資源部應(yīng)進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評估。對變更后的服務(wù)提供方進(jìn)行服務(wù)評估。4.6當(dāng)服務(wù)內(nèi)容發(fā)生變更時，人力資源部應(yīng)進(jìn)行服務(wù)內(nèi)容變更登記，對服務(wù)變更后對現(xiàn)有系統(tǒng)進(jìn)行評估，確保系統(tǒng)的安全性。.7第三方應(yīng)提供服務(wù)報告，人力資源部負(fù)責(zé)對供應(yīng)商情況進(jìn)行評價。對不符合要求的供應(yīng)商提出整改意見，對因整改不符合要求或拒絕整改可能造成事件的供應(yīng)商，做出限期整改、經(jīng)濟(jì)扣罰、終止合同等決定意見。.引用文件《商業(yè)秘密管理程序